This post is also available in: Português
Resolução 964/2021 da Aneel traz novas regras para adequação do setor quanto à proteção digital de empresas e usuários.
O último mês de dezembro foi importante tanto para a segurança digital no Brasil quanto para o setor elétrico. Nove dias antes de 2021 acabar, foi publicada a Resolução Normativa nº 964/2021 (REN), que define a política de segurança cibernética do setor. A resolução obrigará os agentes a adotar sistemas internos de proteção que cumpram diversos requisitos, como a obrigatoriedade de informar à Agência Nacional de Energia Elétrica (Aneel) casos de crise em segurança cibernética.
Também tornou-se obrigatório o compartilhamento de incidentes cibernéticos relevantes entre os agentes, e também entre os agentes e a Aneel. Além disso, as empresas estão obrigadas a escolher e aplicar periodicamente uma metodologia de avaliação de maturidade regulatória.
Outros pontos que a resolução atinge é quanto à segmentação de redes de operação de TI e Internet, bem como procedimentos de resposta rápida para contenção de incidentes – e a adoção de processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.
Governo na mira
O que motivou a aprovação da REN foi a preocupação quanto ao aumento de ataques virtuais a órgãos ligados ao governo brasileiro. Um dia antes de a resolução ser publicada, periódicos especializados em segurança digital publicaram o relatório da consultoria alemã Roland Berger, informando que o Brasil foi o quinto país com mais ações de cibercriminosos em 2021. Somente no primeiro trimestre do ano passado, houve um total de 9,1 milhões de ocorrências, mais do que 2020 inteiro.
Enquanto isso, a empresa holandesa de cibersegurança Surfshark divulgou que o Brasil foi o sexto país mais atingido por vazamentos de dados em 2021, com mais de 24 milhões de usuários expostos – mais de 10% da população brasileira.
Nesse contexto, os sites do governo não ficaram a salvo. Órgãos como Sistema Único de Saúde (SUS), Polícia Rodoviária Federal (PRF), Ministério da Economia e Controladoria Geral da União (CGU) sofreram com as ações de cibercriminosos no ano passado. Isso ajudou a motivar a REN a determinar como os agentes deverão atuar em caso de incidentes cibernéticos, inclusive criando obrigações de notificações, compartilhamento de informações e manutenção de registros para eventuais casos de fiscalização.
Assim, especialistas já vinham alertando que a ausência de uma norma para o setor elétrico poderia fazer crescer os casos de interrupção do fornecimento – e também o vazamento de dados.
Digitalização
Outra motivação para a aprovação da resolução é o avanço das empresas do setor quanto à transformação digital. Portanto, entre as novas diretrizes, estão a adoção de normas, padrões e referências de boas práticas em segurança cibernética, bem como identificação, diagnóstico, resposta e recuperação de incidentes do tipo.
Assim, o novo regramento faz com que a digitalização dessa área aconteça de forma mais segura e eficiente. Dessa maneira, ficam mais viáveis as iniciativas inovadoras dentro do setor, criando um ambiente mais atrativo para investidores e usuários.
Por esse motivo, a resolução é bastante ampla. Inclui até mesmo a obrigação de notificação da equipe de coordenação setorial designada aos incidentes cibernéticos de maior impacto, que influenciam de modo mais relevante a segurança das instalações, a operação ou os serviços dos usuários. Isso se estende também à adoção de procedimentos para o compartilhamento de informações sobre ameaças e outras informações relacionadas à segurança digital de forma sigilosa.
Cuidados extras
Na realidade, os agentes e empresas do setor elétrico já possuem diversos sistemas de proteção contra invasões virtuais. O que a REN faz é obrigá-los a incrementar as defesas existentes, de modo que agora não se trata mais de boas práticas ou de diferenciais competitivos, mas sim de adequação a padrões estabelecidos para todo o território nacional. Há inclusive o risco de sofrer penalidades e de pagar multas, conforme estabelecido na nova regra.
Contudo, as organizações possuem um prazo para adequação, que é 1º de julho de 2022. Ainda assim, devem surgir em breve mais resoluções dentro do tema, que vão regulamentar o assunto conforme os diferentes órgãos do setor elétrico, o que demanda atenção quanto à evolução da normativa.
É necessário ressaltar que a REN não atua sozinha. Afinal, faz parte de todo um sistema legislativo que aborda o tema. Dependendo da situação, outras normas podem entrar em cena, como a Lei Geral de Proteção de Dados (LGPD) nos casos de tratamento de dados pessoais. Há ainda o Marco Civil da Internet (MCI), que aborda as informações trafegadas via Internet – bem como o Código de Defesa do Consumidor (CDC) quando a situação envolve o tratamento dos dados dos consumidores finais.
Evolução
A REN 964/2001 foi criada de modo que não sirva apenas para evitar as penalidades previstas, mas sim para melhorar a segurança do setor elétrico como um todo – onde os sistemas estão cada vez mais informatizados e conectados. Afinal, as ações de cibercriminosos podem causar perdas financeiras imensas, bem como vazamento de dados e até mesmo a interrupção do fornecimento de energia.
Assim, os benefícios são os mais variados, a começar pela proteção dos dados pessoais dos usuários e consumidores. Há também a segurança jurídica e a proteção dos negócios, com a devida prestação dos serviços pelos membros do setor elétrico. Assim, as empresas envolvidas podem compreender claramente as obrigações que devem seguir quanto à segurança da informação e à proteção de dados.
Dessa forma, a nova resolução coloca a segurança digital como prioridade para o setor elétrico brasileiro. A tendência é que os gestores dediquem mais tempo, esforços e verbas para o tema, que ganha cada vez mais relevância. Em breve, surgirão projetos de adequação às normas de proteção de dados e segurança da informação, com a consequente criação de planos de ação para conformidade, com especial celeridade para que tudo esteja pronto até o dia 1º de julho de 2022 – prazo final para adequação.
This post is also available in: Português